根據 Decrypt 於 12 日(當地時間)的報導,建立在「*赫德拉(HBAR)*」區塊鏈上的去中心化金融借貸協議「*本佐借貸(Bonzo Lend)*」日前遭遇「*預言機(Oracle) 檢驗缺陷*」攻擊,造成約 905 萬美元、折合約 135 億韓元的資產損失。攻擊手法聚焦於透過「價格操縱」不當放大抵押品價值,引發整體「*DeFi 協議安全*」與「*預言機風險管理*」的討論。
根據本佐借貸團隊發布的初步報告,攻擊者鎖定外部預言機供應商「*Supra*」的智慧合約,利用其中的「*驗證漏洞*」進行惡意操作。攻擊者先存入 250 枚幾乎沒有實際市場價值的 SAUCE 代幣,隨後透過操縱價格更新機制,人為拉抬該代幣以 HBAR 計價的價格,進而在協議內製造「高價抵押品」假象,為後續超額借款鋪路。
在價格被異常抬高後,攻擊錢包隨即從本佐借貸大舉提款,借出約 663 萬枚穩定幣 USDC,以及 3,452 萬枚包裝赫德拉(wrapped HBAR)。依照報告中採用的 HBAR 價格 0.06998 美元計算,本次不當提領的總金額約為 905 萬美元。這些資金即構成官方目前認定的主要「*協議損失規模*」。
除了主攻擊者之外,報告也提到第二個錢包地址同樣在「*被扭曲的價格*」尚未回復正常前,額外從本佐借貸中借出約 100 萬美元(約 14 億 9,000 萬韓元)資產。不過,這名操作者隨後透過 Discord 主動聯繫團隊,自稱為「白帽回應者」,並表示有意歸還相關資產。目前本佐借貸在計算實際損失金額時,是將這部分「擬歸還資產」排除在外。
本佐借貸表示,事發當下協議中尚未償還的總借款本金約達 1,006 萬美元(約 150 億韓元),顯示整體資金池規模不小,本次事件對平台用戶與流動性供應者都構成重大衝擊。團隊後續預計公布更完整的技術分析與「*補救與補償方案*」,並與預言機供應商協調後續責任與安全升級。
這起安全事故也迅速波及整體「*赫德拉生態系*」。鏈上數據平台 DeFiLlama 顯示,事件發生 24 小時內,赫德拉鏈上的「總鎖倉價值(TVL)」暴跌約 40%,從原本水平滑落至約 2,570 萬美元,顯示資金明顯撤出。其中本佐借貸本身的 TVL 在同一期間更是崩跌約 77%,成為此次預言機攻擊的最大受害協議。
預言機作為 DeFi 中「連接鏈上協議與鏈下價格數據」的關鍵基礎設施,再次成為焦點。當前多數借貸、衍生品與穩定幣協議,依賴外部預言機提供「即時資產報價」,一旦預言機資料源、驗證邏輯或更新機制出現瑕疵,就可能讓攻擊者以極低成本「放大虛假價格」,藉此抽走協議資金。
評論
本次本佐借貸事件清楚凸顯「*單一預言機故障點*」的系統性風險:即便合約邏輯本身並未遭入侵,只要價格來源缺乏多重驗證、異常偵測或備援機制,就可能引發整個協議的連鎖崩潰。市場分析人士指出,未來 DeFi 協議在設計上,勢必更加重視「*多預言機冗餘*」、「*價格波動閾值與暫停機制*」以及「*降低對外部數據的單一依賴*」,例如引入時間加權平均價格(TWAP)、鏈上去中心化預言機組合等架構。
關鍵詞包括:*赫德拉(HBAR)*、*本佐借貸(Bonzo Lend)*、*預言機攻擊*、*Supra*、*DeFi 借貸協議風險*、*TVL 暴跌* 等,預期將在短期內持續影響市場對「新興公鏈生態」與「預言機安全性」的評價與資金配置。
留言 0